74.000 Fortinet-Firewalls. Admin-Passwörter geknackt. Kein CVE.

74.000 Fortinet-Firewalls. Admin-Passwörter geknackt. Kein CVE.

Wenn Sie FortiGate-Infrastruktur betreiben, lautet die Frage nicht ob Sie handeln müssen – sondern wie schnell.

Sicherheitsforscher Bob Diachenko entdeckte am 17. Juni einen exponierten Server mit verifizierten Admin-Zugangsdaten für 73.932 Fortinet-FortiGate-Geräte in 194 Ländern. Die Kampagne, jetzt FortiBleed genannt, wurde von Hudson Rock bestätigt und von Kevin Beaumont unabhängig verifiziert: Die Zugangsdaten sind real, die Geräte sind noch online. Der Datensatz umfasst etwa die Hälfte aller über das Internet erreichbaren FortiGate-Appliances und enthält Zugangsdaten von Samsung, Siemens, Oracle, Accenture, DHL, PwC und mindestens einem NATO-Verteidigungsauftragnehmer, dessen klassifizierte Dokumente angeblich exfiltriert wurden.

Eine russischsprachige Kriminellengruppe fing SSL-VPN-Authentifizierungs-Hashes über eine modifizierte Firmware ab, die in FortiGate-Geräten bereitgestellt wurde. Es gibt keine CVE-Nummer. Es gibt keinen Patch. Die Geräte verhielten sich genau wie erwartet – die Firmware war kompromittiert.

Überprüfen Sie Ihre FortiGate-Seriennummern gegen die veröffentlichte Indikatorliste. Rotieren Sie alle Admin-Zugangsdaten sofort. Überprüfen Sie die Firmware-Integrität auf allen Geräten. Behandeln Sie jedes betroffene Gerät als kompromittiert.